摘要: 摘要:一直以来,运营商各个业务网站分散在各个地市分公司,因为安全投入不够,人员和技能不足,导致信息安全事件频发。因此,广东移动借鉴美国建设TIC可信互联网连接通道的思路,将地市分公司的分散出口进行整合关停,通过构建集约化网站保护安全云平台,统一利用双层异构防火...
摘要:一直以来,运营商各个业务网站分散在各个地市分公司,因为安全投入不够,人员和技能不足,导致信息安全事件频发。因此,广东移动借鉴美国建设TIC可信互联网连接通道的思路,将地市分公司的分散出口进行整合关停,通过构建集约化网站保护安全云平台,统一利用双层异构防火墙、网络入侵保护、web应用防火墙和负载均衡设备来组建强大的IaaS资源池,通过创新的代理服务和访问控制来实现地市各个业务网站的按需接入云服务,并进行统一的安全运维,大大提升广东省的网站安全形势。
另外,借鉴了美国持续监控建设思路,云平台还提供漏洞扫描、网站监控等云服务,可以进行网站安全状态的持续监控,发现网站的漏洞、平稳度、篡改、挂马、非法内容等安全事件,并及时进行预警,对于建设私有云和公有云模式都是很好的安全借鉴。
中国移动集团广东有限公司 信息系统部 韩杰,冯骏,绿盟科技 肖岩军
本文原发表于2014年11月《计算机安全》,经作者授权转载。
长期以来,信息化成为保障运营商业务高速增长的基石,特别是各个地市为了支撑各种业务用途开发各种针对互联网的业务系统。在开展大量的业务创新,取得了众多成绩的同时,随着网络安全形势的逐渐恶化,这些网站入侵、篡改、挂马等安全事件层出不穷,造成一定的恶劣影响。主要问题如下:
- 早期开发的系统没有考虑信息安全,导致网站漏洞比较多,后期修改代码成本非常高,甚至部分开发商没有安全修补能力。
- 各地市网站建设各行其政,全省21个地市,每个地市都有网络出口,甚至一个地市有多个出口。广东省合计有出口近50个。出口多,就需要多点防护,安全成本大。
- 各个地市发展不平衡,安全建设参差不齐。珠三角经济发达,相对安全状态比较好。而部分出口,甚至无安全防护。
- 各个地市缺乏专门的安全运维团队,运维人员安全技能也不够,无法有效的对网站进行安全运维。
面对层出不穷的安全事件,如何保障这些分散的业务网站安全,成为我们必须要思考解决的问题。
发达国家网站安全经验
发达国家网站安全建设思路
从发达国家安全建设现状来看,基本思路为”集中防护,分散修补”。因为威胁的监控防护需要较高的水平专业人士来处理和较大的安全投入,所以“集中防护“。对于脆弱性(漏洞)修补管理来说,需要各个单位及时进行修补,因此“分散修补“。比较典型的是美国,2008年美国总统布什发布,奥巴马实施的 “全面的国家网络安全行动(CNCI)“中,焦点领域1第一项就是,“通过可信互联网连接把联邦的企业级规模的网络作为一个单一的网络组织进行管理“;这个就是从2004年开始的爱因斯坦计划,2007年,在此基础上提出可信互联网连接 (TIC)计划,目标是将联邦政府8000个网络出口归并为50个左右。出口整合后,便于进行安全设备统一部署入侵检测、netflow检测、DDOS 攻击防护、入侵防护系统来提供攻击的早期预警和攻击防护。按照美国政府计划,在2013年整合95%的出口(见下图2.2)。TIC是美国举国推动CAP计划(Cross-Agency Priority Goal on Cybersecurity. 跨联邦部门的网络安全优先目标)的核心,并每月在政府网站公布。
可信互联网连接 TIC提供了统一的防护和监控,而对于脆弱性的监控和评估来看,需要各个单位进行针对资产的持续监控和评估,及时发现漏洞等信息。而在焦点领域2中,美国开展持续监控(ISCM)计划。该计划目标为对信息安全、脆弱性和威胁保持持续的评估,来支撑组织的风险管理决策。2010年的《联邦信息安全管理法》(Federal Information Security Management Act),又称 FISMA 2.0,要求各机构的信息安全方案中必须包含信息系统的持续监测,修复有漏洞且不合规的项目,并根据联邦要求出具报告。报告每月自动化提交,成为政府绩效评定的重要标准,并决定官员升迁。并要求各机构的首席信息官必须在 2012 财年结束之前实施可持续监测网络安全的软硬件。就是说美国联邦政府希望从以前只能通过手动审核的联邦信息系统法规遵从性评估管理过程提升到系统化的接近实时的自动化过程,动态管理企业的风险。
ISCM计划则由各个单位自行建设,为了避免各个单位自行建设成本问题,美国国土安全部开发了“将持续诊断与缓解(CDM)作为工具和服务交付计划(The tools and services delivered through the Continuous Diagnostics and Mitigation program)“来支持ISCM持续监控计划。该计划目标通过提供标准化持续监控引擎工具,诊断、缓解工具和持续监控服务Continuous Monitoring as a Service (CMaaS) 来增强政府网络安全态势,从而保护联邦以及政务单位的IT网络免受网络安全威胁。最终通用动力公司等的17家服务商中标,签订了为期五年的由政府制定的一揽子”持续监控”协议。为美国国土安全部、联邦、州和地方政府提供持续监控工具,持续监控可以加强政府网络空间安全、评估和打击实时网络空间威胁,并将持续监控作为一种服务手段(云服务),提供给需要的政府单位的网络空间监控和安全风险缓解服务。同时为需要额外服务的机构提供数据整合和个性化服务。
发达国家网站安全的启示
研究美国的安全建设可以看出,美国是通过TIC可信互联网连接来进行网络整合,便于统一进行高质量的安全监控和防护。同时,针对资产、漏洞、配置做有体系的持续监控。便于及时发现各个网站的漏洞,提升网络安全态势感知,提升安全防护能力。可以将部分安全服务形成云服务,进行进一步标准化,便于提升服务质量,降低安全成本。
IaaS模式的可信网站云平台
按照云计算思路来设计云安全服务
广东移动借鉴美国建设TIC可信互联网连接通道的思路,将地市分公司的分散出口进行整合关停,通过构建集约化网站保护安全云平台,统一建立强大的双层异构防火墙、网络入侵保护、web应用防火墙和负载均衡设备来组建强大的IaaS资源池,通过创新的反向代理服务和正向访问控制来实现地市各个业务网站的按需接入云服务,同时提供3种IaaS模式的私有云服务来为地市网站提供云服务。
- 通过提供”地市网站反向代理云安全服务”来进行现有各种地市网站的出口整合并提供安全防护服务。
- 通过建设”省公司虚拟机租用云安全服务”来为新建业务网站提供虚拟机租用、安全防护等服务。
- 建设”网站评估监控云服务”,为网站提供系统扫描评估服务,web扫描评估服务,网站平稳度、篡改、挂马、非法内容监控等安全云服务。
可信网站云平台实现
IaaS模式的可信网站云平台在目前的生产环境需求中,按照移动的相关规范,采用了双层异构防火墙、网络入侵防护设备(IPS)、Web应用防火墙以及反向代理设备(带负载均衡功能)为核心安全组件,下挂3个云服务资源池,所有设备均采用双机热备。
地市网站反向代理云安全服务
地市网站反向代理云安全服务是可信网站保护云的核心,通过地市网站反向代理资源池来提供反向代理,来实现网络出口的统一,反向代理技术成熟,网络适应好,可以按需提供。由于安全设备集中部署,我们可以开发很多的IaaS基础设施即服务的云安全服务。
云服务目录
序号 | 云服务 | 服务介绍 |
1 | 公网IP租用 | 提供公网IP租用 |
2 | 互联网带宽租用 | 提供带宽管理,qos保障,根据不同需求提供带宽租用。 |
3 | 反向代理服务 | 提供按需的反向代理,用户可以修改DNS公网IP方式快速的将网站切换到可信网站保护云中,切换过程不断网。并隐藏原始IP地址 |
4 | 负载均衡服务 | 提供按需的负载均衡,主要是web服务的负载均衡。 |
5 | 双层防火墙服务 | 提供防火墙服务,部分服务是非web的,可以同防火墙提供细粒度的映射。 |
6 | Web应用防护 | 对于web类业务,提供web应用防护,可以细致的防护sql、跨站等攻击。 |
7 | IPS网络入侵保护服务 | 对于系统层面、网络层面、应用层面攻击,提供IPS网络入侵保护服务。 |
8 | 外部资源接口访问 | 网站需要访问外部接口,如银行接口服务器等,提供细致的访问控制,要求细致到IP、端口和服务。 |
技术实现
地市网站反向代理模式访问
广东移动通过反向代理设备新建地市网站反向代理资源池,关闭全省21个地市分公司的所有web应用系统的独立公网出口,并将地市分公司的web应用系统加入反向代理云,达到全省统一公网出口。外网访问地市分公司业务系统,经过双层异构防火墙、IPS和web应用防火墙的过滤,再由反向代理设备进行代理访问,提高了业务系统的安全,减少了地市分公司服务器的负担。如(图 3.1 IaaS模式的可信网站云平台架构)的序号1。
省公司虚拟机租用云安全服务
“省公司虚拟机租用云安全服务“是为了进一步提升网站整合力度新建的云资源池平台,按照计划,地市后续新建业务网站可以通过申请云服务方式来进行虚拟机租用,存储,数据库的租用,地市可以专注于业务层面的开发,基础设施和安全可以由省公司直接以平台方式提供。
云服务目录
序号 | 云服务 | 服务介绍 |
1 | 虚拟机租用 | 地市用户可以申请虚拟化主机,作为其新建业务的系统的主机,资源可以弹性提供,可以随时进行cpu、内存、硬盘、存储的扩容。 |
2 | Vlan隔离 | 采用虚拟化交换机和网络设备进行应用的隔离,不同业务间可以用vlan或者pvlan隔离。避免不同业务间的攻击。 |
3 | 虚拟化防火墙隔离和控制 | 不同pvlan隔离的业务需要进行交换,可以采用虚拟化防火墙进行控制。做细致的访问控制。 |
4 | 存储租用 | 提供物理存储的虚拟化,用户可以根据需要租用对应的存储资源。 |
5 | 数据库租用 | 云平台提供oracle、DB2等数据库资源,可以虚拟化提供服务。或者以PaaS模式提供服务。 |
6 | 灾备租用 | 如果业务需要灾备,可以租用灾备,将重要数据远程备份到灾备中心。 |
7 | 公网IP租用 | 提供公网IP租用。 |
8 | 互联网带宽租用 | 提供带宽管理,qos保障,根据不同需求提供带宽租用。 |
10 | 负载均衡服务 | 提供按需的负载均衡,主要是web服务的负载均衡。 |
11 | 双层防火墙服务 | 提供防火墙服务,部分服务是非web的,可以同防火墙提供细粒度的映射。 |
12 | Web应用防护 | 对于web类业务,提供web应用防护,可以细致的防护sql注入、跨站脚本等攻击。 |
13 | IPS网络入侵保护服务 | 对于系统层面、网络层面、应用层面攻击,提供IPS网络入侵保护服务。 |
14 | 外部资源接口访问 | 网站需要访问外部接口,如银行接口服务器等,提供细致的访问控制,要求细致到IP、端口和服务。 |
技术实现”省公司虚拟机租用云平台”双向访问
为了满足地市公司业务的要求,广东移动省公司统一新建一套”省公司虚拟机租用云平台”,主要为地市分公司提供Iaas基础设施租赁服务,配备高端服务器、存储、各种类型数据库等资源,地市分公司无需自己新建基础设施,即可短时间内布署业务系统。同时,”省公司虚拟机租用云”和”地市网站反向代理云”可以共享一套双层异构防火墙、IPS网络层防护、WEB应用防护过滤,实现网络3层至7层全面安全防护。可以实现双向访问的安全防护功能,资源池里的业务平台既可以被外网访问(被动访问),也可以从业务平台访问外网系统平台(主动访问),例如银行支付平台。如(图 3.1 IaaS模式的可信网站云平台架构)的序号2。
技术实现虚拟化层实现“东西隔离,南北防护”
为了解决虚拟化技术最重要威胁,虚拟机的逃逸问题,我们采用了多种新的技术手段来进行有效防护,首先,虚拟机全部部署了分布式虚拟化交换机,通过虚拟化交换机来实现不同业务的隔离,隔离的技术主要是采用vlan和pvlan技术,保证每个业务都有单独的vlan或者pvlan。来实现虚拟化层东西隔离。鉴于实际上不同业务之间也有交互访问,对于这部分的访问如pvlan,我们通过部署虚拟机防火墙来实现“南北防护“,对于vlan间的访问,则进行更深入的流量牵引,通过物理防火墙实现防护。总体而言,通过虚拟化防火墙和物理防火墙相结合,通过设定细粒度的访问控制来有效的控制风险。
网站评估监控云服务
“网站评估监控云服务”是主要解决网站的安全状态监控。为网站提供系统扫描评估服务,web扫描评估服务,网站平稳度、篡改、挂马、非法内容监控服务。通过云安全服务,省公司和地市管理可以知道网站存在的问题,第一时间通知地市网站开发商进行安全整改,避免因为单个系统问题影响云平台。同时,将自查工作变成周期工作,安全工作的频率大大提升。
云服务目录
序号 | 云服务 | 服务介绍 |
1 | 系统漏洞扫描 | 扫描发现系统漏洞,数据库漏洞,网络层漏洞和应用漏洞。漏洞扫描频率可以自定。为了提升准确度,采用2种主流商业工具交叉扫描。 |
2 | Web应用漏洞扫描 | 发现网站的SQL注入、跨站脚本、目录遍历等web漏洞,评估网站的安全状态。漏洞扫描频率可以自定。为了提升准确度,采用2种主流商业web扫描工具交叉扫描。 |
3 | 安全配置检查评估(基线扫描) | 发现网站配置的账号口令、日志审计、安全策略等是否符合中国移动管理信息部的安全配置规范。评估频率可以自定。 |
4 | 网站监控服务 | 7*24小时对网站平稳度、网站篡改、挂马、暗链等事件进行监控,发现告警后通知用户。 |
技术实现
为了增加云资源池和反向代理云的安全保障,在云平台专门设计了一个安全域–网站漏扫监控云,配备各种漏洞扫描和基线扫描软硬件设备,具备系统漏洞扫描、安全基线检查、web应用扫描及源代码审计等检查工具。为了避免单个厂家误报漏报,每种类型的检测采用2个厂家产品进行交叉审核。任务的下发均通过云平台进行。如(图 3.1 IaaS模式的可信网站云平台架构)的序号3。
下一步规划
得益于设计之初就充分考虑了云计算的五大特征(强大的资源池,互联网接入,弹性提供,可计费,自服务),目前安全云平台运行良好,但是在可计费和自服务上做的还不够,作为运营商企业的私有云,广东移动目前已经在财务方面做了一定创新,初步打通服务成本通道,可以对地市进行计费服务,但是目前在自服务方面建设上仍需要加强,支持更多用户个性化的需求是云平台的下一步发展重点。
总结
广东移动经过详细调研,吸取了国内外的先进做法,创造性的提出“一套集中化基础设施,提供3种不同云安全模式服务,形成可信网站保护云“模式,并进行建设,取得了较好的经济效益和安全效益。主要成果如下
- 3个云共享一个基础设施,形成防火墙、IPS网络入侵保护系统、web应用防火墙、负载均衡、漏洞扫描等多层次的综合防护基础设施,为内部用户提供了众多的云服务目录。充分发挥了云平台资源效益和经济效益,着重提升安全效益。
- 通过地市网站方向代理云,形成了类似美国TIC可信互联网连接的方式,将地市近50个网站出口整合成为1个单独的出口来统一防护,形成地市网站可信互联网接入,解决了地市网站出口分散,处处不设防的问题。同时提供了多种云安全服务给地市网站进行选择。
- 采用”省公司虚拟机租用云安全服务”,来新建业务网站提供虚拟机租用、安全防护等服务,有效降低地市基础设施成本和安全建设成本,同时提供了统一的安全防护。
- 建设”网站评估监控云服务”,参考美国持续监控计划和CMaaS服务,为网站提供系统扫描评估服务,web扫描评估服务,网站平稳度、篡改、挂马、非法内容监控服务。形成对于所有网站的持续监控云服务。
通过上述安全建设,我们大大提升网站的安全态势,取得了较好的经济效益和安全效益,对于加快运营商内外部转型,转变加强内部服务意识和模式,都取得了一定的经验和成绩。
***参考资料 ***
***电子文献 ***
- Michael Daniel,Cross Agency Priority Goal: Cybersecurity(FY2013 Q4 Status Update),http://goals.performance.gov/node/39069, 引用日期:2014.10.28
- Kelley Dempsey等,Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations,http://csrc.nist.gov/publications/nistpubs/800-137/SP800-137-Final.pdf,SEPTEMBER 2011
- Clay Johnson III,Implementation of Trusted Internet Connections (TIC),http://www.whitehouse.gov/sites/default/files/omb/assets/omb/memoranda/fy2008/m08-05.pdf,November 20, 2007
作者简介:
- 韩杰(1974-),男,西安交通大学硕士,主要是研究方向:数据信息安全、网络及网络安全,云平台及虚拟化安全。
- 冯骏(1982-) 男,武汉理工大学本科,主要是研究方向:网络及网络安全,云平台及虚拟化安全。
- 肖岩军(1981-),男,郑州大学本科,主要是研究方向:网络安全,早期预警,态势感知,云安全。建设IaaS模式的可信网站云平台